MySQL Eventum bis 1.6.0 view.php id-Parameter Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.7$0-$5k0.00

SQL ist eine Datenbank. MySQL ist eine SQL-Datenbank für viele verschiedene Betriebssysteme, die der open-source Lizenz unterliegt. Sie hat aufgrund ihrer Geschwindigkeit und Zuverlässigkeit ein sehr hohes Mass an Popularität erreicht. In MySQL Eventum bis 1.6.0 wurden einige Cross Site Scripting-Schwachstellen gefunden. Das MySQL-Team publizierte unter anderem den Fehler bezüglich der Verarbeitung des Parameters id durch das PHP-Skript view.php. Ein Angreifer ist durch Cross Site Scripting-Angriffe in der Lage, mobilen Programmcode im Kontext der Browser-Sitzung eines Opfers anzeigen zu lassen. Der Fehler wurde in der jüngsten Version 1.6.0 von MySQL Eventum behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (21640) und Exploit-DB (1134) dokumentiert. Die Schwachstellen 1674, 1676, 1675 und 27853 sind ähnlich.

Cross Site Scripting Angriffe erfreuen sich in einiger Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.

Produktinfo

Typ

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.7

VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: MySQL Eventum 1.6.0
Patch: dev.mysql.com

Timelineinfo

31.07.2005 🔍
01.08.2005 +1 Tage 🔍
01.08.2005 +0 Tage 🔍
01.08.2005 +0 Tage 🔍
01.08.2005 +0 Tage 🔍
01.08.2005 +0 Tage 🔍
05.08.2005 +3 Tage 🔍
08.08.2005 +3 Tage 🔍
31.12.2005 +145 Tage 🔍
04.07.2019 +4933 Tage 🔍

Quelleninfo

Advisory: gulftech.org
Person: James Bercegay
Firma: MySQL Team
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2005-2467 (🔍)
X-Force: 21640 - MySQL Eventum multiple class SQL injection, Medium Risk
SecurityTracker: 1014603
SecurityFocus: 14436 - MySQL Eventum Multiple Cross-Site Scripting Vulnerabilities
Secunia: 16304 - MySQL Eventum Cross-Site Scripting and SQL Injection, Moderately Critical
OSVDB: 18403 - MySQL Eventum login.php email Parameter SQL Injection Authentication Bypass
Vupen: ADV-2005-1287

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 08.08.2005 11:54
Aktualisierung: 04.07.2019 06:52
Anpassungen: 08.08.2005 11:54 (87), 04.07.2019 06:52 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!